Category: мода

Category was added automatically. Read all entries about "мода".

white

Неприличное поведение

Электронная почта – она как одежда. Адрес кое-что говорит о своём обладателе, но только через призму текущей моды. Quae fuerunt vitia, mores sunt.
       

Одни домены считались деловыми, другие – модными, третьи – приличными. Домен обычно выбирают из небольшого списка доступных. А та часть адреса, которая перед "@", сочиняется пользователем (иногда админом). Давайте посмотрим на диапазон человеческой фантазии и зашоренности.

Одна ханжески настроенная кадровичка пишет об адресах в резюме соискателей:
«Кто во что горазд. Кого только нет! sexy666@***.ru, kotenok1989@***.ru, krasotka@***.ru… Ребят! У меня тоже позорное мыло, но на него завязаны многие нужные мне ресурсы. Для официоза я завела себе мыло с приличным именем. Вот мне правда странно: как можно в резюме указать мыло типа xochy_sexa@***.ru? Пишу и плачу, блин. Соискатель, ты дебил?»
Аргументация у неё чисто эмоциональная, без малейшей примеси логики. Неэтично, дескать, и всё!

Вам не кажется, что этика в какой-то новой области должна складываться сама, а не импортироваться и не натягиваться из посторонних источников? А то ведь в XIX веке дамы, пожалуй, в обморок упали бы от слова "имейл".

Личный адрес, идентификатор, позывной, никнейм совсем не обязаны подчиняться некоему дресс-коду, который, к тому же, пока никем не написан. Зато есть обычаи и традиции Интернета, отлаженные годами взаимодействия и конфликтов. И эти традиции вполне допускают ник dolboeb у публичного и даже местами рукопожатного человека.

И наоборот. Уместное на заседании парламента – неприлично в Твиттере. За бюрократический канцелярит – мгновенно заминусуют на Хабре. Цена из бутика – вызовет раздражение на Ebay. Про авторские права в Интернете лучше вообще не вспоминать.

Короче, мода и мораль в онлайне и офлайне существенно отличаются. С этим приходится считаться и как-то согласовывать.

white

Легализация

Ещё разок вернёмся к давешнему обсуждению BYOD и CYOD. Когда-то в офис не пускали тех, кто принёс собственное устройство. Теперь, согласно новому веянию, будут не пускать тех, кто явился без собственной техники.


.

Понятно, что применение этих концепций вызовет всплеск инцидентов, особенно – утечек. Вернуться к прежнему уровню безопасности уже не удастся. Дай бог со временем обуздать падение и стабилизировать ИБ на новом уровне. Ключевой проблемой видится отсутствие специалистов с опытом поддержки (и защиты) BYOD-техники. Мода охватывает народ быстро, кадры же готовятся долго.

Но тут у русских припасено секретное оружие.

Хоть указанная концепция пришла с Запада, к счастью, в России уже имеются спецы по обслуживанию BYOD'истых рабочих мест. Только они хорошо замаскированы. Они специально прячутся и не очень любят говорить о своей квалификации. Это те, кто осуществлял техподдержку высоких начальников. Поскольку топ-менеджерам закон не писан, они давно перешли на BYOD с CYOD'ом – в те времена, когда на Западе их ещё не изобрели. Тогда и была поставлена задача технарям: "чтоб у директора всё работало и ничего не утекало!" Кто посчитал, что в данном приказе имеется внутреннее противоречие, отправился на фронт. На уютной должности при штабе остались те, кто сумел сделать невозможное.

Если таких специалистов найти, они смогут обучить других и внедрить концепцию. Но уже под новым модным именем и легальным статусом.

white

Экономим чужое

Нынче в цивилизованных странах пошла такая мода.

Поскольку типичный человек-потребитель имеет огромное количество дисконтных-бонусных-членских карточек от всевозможных заведений, они уже не помещаются в кошельке. Современный типичный бумажник вмещает 8-10 карт стандартного (85,6 * 54,0 * 0,76 мм, согласно ISO 7810) размера. В борьбе за такой дефицитный ресурс как место в кошельке магазины стали выпускать карты маленького размера (54 * 29 мм). Карманчиков соответствующего размера или подвесок в бумажниках я пока не видел, но, очевидно, они скоро появятся.

О чём говорит нам этот пример? О паролях, разумеется.

Администратор ресурса может ввести любые требования к паролю пользователя – длина, несловарность, уникальность, сменяемость. Но он не может заставить пользователя выделить в голове больше места. Там всего 3-5 кармашков. И нет надежды, что в будущем станут шить более ёмкие головы.

Поэтому имеет смысл трезво переоценить риски и подумать над тем, чтобы авторизовать пользователя вообще без пароля. Есть же куки, закладки, соцсети. Методы не самые надёжные, но они вполне выдерживают те лёгкие риски, которые на них возложены. А зачем излишняя прочность?

Для магазинов скидочно-бонусные программы – это выгода. Ради денег они поступились принципами. А какие сайты ради посещаемости поступились своими паролями?

white

Спрятать лист в лесу

Популярный аргумент сторонников открытого кода – что «каждый может его проверить» на предмет НДВ и прочих безобразий.

На самом-то деле, может далеко не каждый. Лишь ничтожный процент пользователей обладает нужной квалификацией. Впрочем, даже они могут, но не хотят. Изучать миллион строк исходного кода – это работа, на которую даже за деньги не всякого уговоришь.

Паранойя с ИТ-квалификацией сочетается редко.

Бывают специально нанятые для поиска НДВ сертификаторы с соответствующими инструментами. Но для них, если уж деньги нашлись, и исходники проприетарных продуктов обычно предоставляются без проблем.

Профессионал же, добровольно и бесплатно шерстящий исходный код на предмет потенциальных чёрных ходов – организм, в дикой природе не встречающийся.

Кроме того, вот уже лет 15, как в спецслужбах всего мира утвердилась мода делать бэкдоры исключительно под видом ненамеренных ошибок. Так всем спокойнее. И скрытность выше. И "разоблачение внедрённого агента" не приводит ко шпионскому скандалу, а выглядит банальным обнаружением очередной уязвимости.

Ваш покорный слуга остаётся сторонником свободного ПО и открытых исходников. Однако вышеуказанный аргумент – вычёркиваем.

white

Мода на риски

Какой враг опаснее – внутренний или внешний? В мелких компаниях считают более опасным внешнего врага, а в средних и крупных – внутреннего. При этом в последние годы всё больше специалистов склоняются в пользу внутренней опасности.

Оценка относительной опасности внутренних и внешних угроз, согласно опросу IDC. Источник: "Oracle Database Security: Cost-Effective Data Leak Prevention Starts at the Source" (WHITE PAPER).

Здесь играют как особенности восприятия, так и действительные риски. И отделить одно от другого довольно затруднительно. Где мода и пиар, а где опыт и статистика? Когда-то давно внешние угрозы безраздельно превалировали. Как сейчас помню, в 2000 году технический работник интернет-провайдера при обсуждении одного проекта по ИБ заявил: «Тогда загоняем этот трафик в gre-шный туннель – и вопрос решён. Нет, больше ничего не нужно. Ведь этот канал под нашим управлением.» Безраздельное доверие к своим просто не позволяло ему увидеть уязвимость.

Не могла ситуация за 10 лет измениться столь радикально, чтоб внутренние угрозы поднялись с "околонуля" до "большеполовины". Очевидно, сменилась мода. Возможно, её намеренно сменили общими усилиями производители средств защиты. Дескать, межсетевые экраны берут хорошо и стабильно, пора продавать IDSы. А за ними – FMSы, DLP и прочие штучки против внутреннего врага.

Но, с другой стороны, ситуация действительно поменялась сильно. Интернет превратился из некоммерческой сети в инструмент бизнеса, информация вздорожала в десятки раз, соответственно выросли искушения перед работниками. От внешних злобных хакеров зазолотившиеся байты более или менее отгорожены разными средствами защиты, а от внутренних – нет. Отсюда реальный рост "внутренних" рисков.

Качнётся ли маятник в обратную сторону? Или же баланс внутренних и внешних угроз в представлении айтишников плавно стабилизируется вблизи объективного показателя?

white

Подсказка при вводе пароля


Появилась и распространяется новая практика. А может быть, мода. В случае ввода неверного пароля (или если слишком долго думает) пользователю выдаётся подсказка-напоминалка, хинт – некая заранее им заданная строка символов, которая, по идее, должна помочь вспомнить пароль. Но при этом должна быть бесполезна для постороннего. Например:

"Ну давай, вспоминай уже, старый склеротик!"
"Пароль №2, записан на листке под обложкой паспорта."
"Ты этим паролем ещё камеру хранения закрыл, где у тебя чемодан с миллионами."
"Имя твоего первого мужчины."
"Помнишь, когда Вован в столб въехал, он это слово сказал."

Действительно, на что может хватить фантазии среднего пользователя? Если служба ИБ запретила записывать пароли карандашом на дне ящика стола, то надо найти другое место. Запомнить-то длинный несловарный пароль, меняющийся раз в месяц, всё равно невозможно. Дадим юзеру ещё одно место, куда его можно записать (разумеется, записать задом наперёд, чтоб никто не догадался).

Как вы, наверное, уже поняли, ваш покорный слуга не одобряет обсуждаемую фичу (хотя в нашем продукте парольная подсказка тоже используется; увы, мода). Фича сия может оказаться полезной только в очень умелых... не руках, а мозгах, которые ухитрятся придумать в качестве хинта такую шараду, которая даст потенциальному злоумышленнику ровно нуль полезной информации. Это сложней, чем сочинить несловарный, не основанный на персональных данных, длинный, но запоминающийся пароль. Например:

подсказка: «На третьей полке, где мыши ночуют.»
пароль: «';lasdyhn45» (начинается с символов третьего ряда клавиатуры, справа)


white

Пошли первые отчёты об утечках

Пошли первые отчёты об утечках по итогам 2008 года.

Годовые итоги подвела ITRC, её отчёт пересказал "Си-ньюз"; также подвёл итоги OSF Data Loss.

Основная мысль такова: утечек персональных данных регистрируется всё больше. На каком слове надо сделать акцент: "больше" или "регистрируется"?

На наш взгляд, всё дело в регистрации. Тема identity theft стала модной, актуальной и обсуждаемой году так в 2004 или 2005. Учёт и контроль в этой сфере стали налаживать совсем недавно. Нормальные базы ведутся всего год-два. Поэтому ещё пару лет они будут выходить на насыщение. И если не затухнут в связи с исчерпанием финансирования, то после этого можно будет корректно сравнивать периоды.

Наш отчёт выйдет чуть позже (ждите на днях), зато мы опираемся на собственную базу данных!